热门标签
热门文章
- 1如何在 PyTorch 上进行性能分析_vtune和torch profiler
- 2Linux信号:信号的概念及意义_linux 信号 13
- 3MySQL基于Gtid的主从复制
- 4hive根据已有表创建新表_Hive中新建表
- 5asus华硕 开启安全启动_华硕主板开启安全启动
- 6T710 AI开发板介绍_紫光t710芯片手册
- 7「自然语言处理(NLP)论文解读」网络社区问题分类与难易评估(含源码)_nlp 需求难易分析
- 8你真的懂Linux吗?Linux运维从业方向与前景_linux运维岗位哪个城市多
- 9Spring Boot入门(04):实现多环境配置文件切换,轻松搞定不同环境部署问题_springboot根据环境配置不同变量
- 10MacBook m1 安装 Linux虚拟机_mac m1 安装linux虚拟机 centeros
当前位置: article > 正文
接口未授权访问/调用测试_测试接口 请求未授权
作者:寸_铁 | 2024-08-06 04:02:10
赞
踩
测试接口 请求未授权
接口未授权访问/调用测试
在正常的业务中,敏感功能的接口需要对访问者的身份进行验证,验证后才允许调用 接口进行操作。如果敏感功能接口没有身份校验,那么攻击者无须登录或者验证即可调用 接口进行操作。在安全测试中,我们可以使用Burp Suite作为HTTP代理,在登录状态下记 录所有请求和响应信息,筛选出敏感功能、返回敏感数据的请求。在未登录的情况下,使 用浏览器访问对应敏感功能的请求,如果返回的数据与登录状态后的一致,则存在漏洞或 缺陷。
作者:
锦凡歆在 ‘来疯’ 直播唱歌最好听
修复建议
(1)采用Token校验的方式,在url中添加一个Token参数,只有Token验证通过才返 回接口数据且Token使用一次后失效。
(2)在接口被调用时,后端对会话状态进行验证,如果已经登录,便返回接口数据;如果未登录,则返回自定义的错误信息
声明:本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:【wpsshop博客】
推荐阅读
相关标签
